本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Step Functions 中标记状态机和活动
AWS Step Functions 支持对状态机(标准和快速)和活动进行标记。标签可以帮助您跟踪和管理与您的资源相关的成本,并提高您的 AWS Identity and Access Management (IAM) 策略的安全性。标记 Step Functions 资源允许由对其进行管理。 AWS Resource Groups有关资源组更多信息,请参阅 AWS Resource Groups 用户指南。
对于基于标签的授权,状态机执行资源(如下例所示)会继承与状态机关联的标签。
arn:<partition>
:states:<Region>
:<account-id>
:execution:<StateMachineName>:<ExecutionId>
当您调用DescribeExecution或APIs以其他方式指定执行资源时ARN,Step Functions 在执行基于标签的授权时使用与状态机关联的标签来接受或拒绝请求。这有助于在状态机级别允许或拒绝对状态机执行的访问。
要查看与资源标记相关的限制,请参阅与标记相关的限制。
成本分配的标记
要组织并标识您的 Step Functions 资源以进行成本分配,您可以添加用于确定状态机或活动的用途的元数据标签。这在您拥有许多资源时尤其有用。您可以使用成本分配标签来整理 AWS 账单,以反映您自己的成本结构。为此,请注册以获取包含标签密钥和值的 AWS 账户账单。有关更多信息,请参阅《AWS Billing 用户指南》中的设置月度成本分配报告。
例如,您可以添加表示 Step Functions 资源的成本中心和用途的标签,如下所示。
资源 | 键 | 值 |
---|---|---|
StateMachine1 |
Cost Center |
34567 |
Application |
Image processing |
|
StateMachine2 |
Cost Center |
34567 |
Application |
Rekognition processing |
|
Activity1 |
Cost Center |
12345 |
Application |
Legacy database |
此标记方案可让您将执行相关任务的两个状态机分组到同一成本中心,并使用不同的成本分配标签来标记不相关的活动。
标记以提高安全性
IAM支持根据标签控制对资源的访问权限。要根据标签控制访问权限,请在IAM策略的条件元素中提供有关您的资源标签的信息。
例如,您可能会限制对下面这样的所有 Step Functions 资源的访问:在这些资源包含的标签中,具有键 environment
和值 production
。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"states:TagResource",
"states:DeleteActivity",
"states:DeleteStateMachine",
"states:StopExecution"
],
"Resource": "*",
"Condition": {
"StringEquals": {"aws:ResourceTag/environment": "production"}
}
}
]
}
有关更多信息,请参阅《IAM用户指南》中的使用标签控制访问权限。
在 Step Functions 控制台中查看和管理标签
Step Functions 可让您在 Step Functions 控制台中查看和管理状态机的标签。在状态机的 Details (详细信息) 页面中,选择 Tags (标签)。在这里,您可以查看与状态机关联的现有标签。
注意
要管理活动的标签,请参阅使用 Step Functions API 操作管理标签。
要添加或删除与状态机关联的标签,请选择 Manage Tags (管理标签) 按钮。
-
浏览到状态机的详细信息页面。
-
选择执行和定义旁边的标签。
-
选择管理标签。
-
要修改现有标签,请编辑 Key (键) 和 Value (值)。
-
要删除现有标签,请选择 Remove tag (删除标签)。
-
要添加新标签,请选择 Add tag (添加标签),然后输入 Key (键) 和 Value (值)。
-
-
选择保存。
使用 Step Functions API 操作管理标签
要使用 Step Functions 管理标签API,请使用以下API操作: